検出結果ワークベンチから検出結果のルールを作成する
[脆弱性] タブまたは [ホスト監査] タブの [検出結果] ワークベンチでは、脆弱性の検出結果に対して変更ルールまたは許容ルールを作成し、ホスト監査の結果に対しては結果変更ルールまたは許容ルールを作成できます。Create Findings Rules で説明されているように、これらのルールは [設定] > [検出結果のルール] から作成することもできます。
[検出結果] ワークベンチでは、脆弱性の検出結果のルールを作成して、リスクの提示方法をカスタマイズできます。変更ルールは検出結果の深刻度を変更し、許容ルールは深刻度を変更せずにそのリスクを許容します。
ヒント: 変更/許容ルールで説明されているように、ルールを Tenable Vulnerability Management [設定] から作成することもできます。
注意: ルールが IP アドレスによって指定される場合、各ネットワーク上で見つかった指定の IP に対してそのルールが適用されます。詳細は、ネットワークを参照してください。
検出結果で変更ルールを作成する
[検出結果] ワークベンチから変更ルールを作成する方法
-
左上にある
ボタンをクリックします。左側にナビゲーションプレーンが表示されます。
- 左側のナビゲーションプレーンにある [調査] セクションで、[検出結果] をクリックします。
[検出結果] ページが表示され、[脆弱性] タブがアクティブになり、検出結果がテーブルビューで表示されます。
-
(オプション) [ウェブアプリケーションの検出] をクリックします。
[ウェブアプリケーションの検出] タブが表示されます。
-
ルールを作成する検出結果の行で
ボタンをクリックします。ドロップダウンメニューが表示されます。
-
[変更] をクリックします。
[ルールの追加] プレーンが表示されます。
-
[ルール情報] セクションで以下のオプションを設定します。
- 脆弱性プラグイン ID - 変更するプラグインの ID が事前選択されているものと異なる場合は、その ID を入力します(たとえば 51192)。
注意: プラグイン ID が Tenable Nessus プラグインに対応する場合は、元の深刻度インジケーターが脆弱性のデフォルトの深刻度に一致するよう変更されます。
-
新しい深刻度 - 脆弱性に関する適切な深刻度レベルを選択します。
-
ターゲット - [すべて] を選択してすべての資産をターゲットにするか、[カスタム] を選択してルールを実行するターゲットを指定します。
注意: [ターゲット] ドロップダウンを [すべて] に設定した場合、このオプションにより既存のルールがオーバーライドされる可能性があることを知らせる警告が表示されます。
-
ターゲットとなるホスト - 必要に応じて、ルールの 1 つ以上のカスタムターゲットを入力します。IP アドレス、IP 範囲、CIDR、ホスト名の任意の組み合わせを含むコンマ区切りリストを入力できます。
注意: 指定できるコンマ区切りカスタムエントリは 1000 個までとなっています。これよりも多くのカスタムエントリをターゲットにする場合は、複数のルールを作成してください。
-
(オプション) 有効期限日 - ルールが期限切れになる日付を選択します。
-
(オプション) コメント - ルールの説明を入力します。このオプションは、ルールが変更された場合にのみ表示されます。
- 脆弱性プラグイン ID - 変更するプラグインの ID が事前選択されているものと異なる場合は、その ID を入力します(たとえば 51192)。
-
[保存] をクリックします。
Tenable Vulnerability Management が既存の検出結果にルールを適用し始めます。システムの負荷と一致する検出結果の数によっては、このプロセスに時間がかかる場合があります。Tenable Vulnerability Management はダッシュボードを更新し、影響を受けている検出結果のインスタンスがいくつ変更されたかを示すラベルが表示されます。
注意: 変更ルールによって、スキャンの履歴結果に影響が出ることはありません。
検出結果で許容ルールを作成する
[検出結果] ワークベンチから許容ルールを作成する方法
-
左上にある
ボタンをクリックします。左側にナビゲーションプレーンが表示されます。
- 左側のナビゲーションプレーンにある [調査] セクションで、[検出結果] をクリックします。
[検出結果] ページが表示され、[脆弱性] タブがアクティブになり、検出結果がテーブルビューで表示されます。
-
(オプション) [ウェブアプリケーションの検出] をクリックします。
[ウェブアプリケーションの検出] タブが表示されます。
-
ルールを作成する検出結果の行で
ボタンをクリックします。ドロップダウンメニューが表示されます。
-
[変更] をクリックします。
[変更ルールの追加] プレーンが表示されます。
-
[変更ルールの追加] プレーンの [アクション] セクションで、[許容] をクリックします。
-
[ルール情報] セクションで以下のオプションを設定します。
- 脆弱性プラグイン ID - 許容するプラグインの ID が事前選択されているものと異なる場合は、その ID を入力します(たとえば 51192)。
注意: プラグイン ID が Tenable Nessus プラグインに対応する場合は、元の深刻度インジケーターが脆弱性のデフォルトの深刻度に一致するよう変更されます。
-
ターゲット - [すべて] を選択してすべての資産をターゲットにするか、[カスタム] を選択してルールを実行するターゲットを指定します。
-
ターゲットとなるホスト - 必要に応じて、ルールの 1 つ以上のカスタムターゲットを入力します。IP アドレス、IP 範囲、CIDR、ホスト名の任意の組み合わせを含むコンマ区切りリストを入力できます。
注意: 指定できるコンマ区切りカスタムエントリは 1000 個までとなっています。これよりも多くのカスタムエントリをターゲットにする場合は、複数のルールを作成してください。
-
(オプション) 有効期限日 - ルールが期限切れになる日付を選択します。
-
(オプション) コメント - ルールの説明を入力します。このオプションは、ルールが変更された場合にのみ表示されます。
- 脆弱性プラグイン ID - 許容するプラグインの ID が事前選択されているものと異なる場合は、その ID を入力します(たとえば 51192)。
-
(オプション) 脆弱性を誤検出として報告する方法
- [誤検出として報告する] トグルを有効にします。
[Tenable へのメッセージ] ボックスが表示されます。
- [Tenable へのメッセージ] ボックスに、誤検出の説明を入力します。
- [誤検出として報告する] トグルを有効にします。
-
[保存] をクリックします。
Tenable Vulnerability Management が既存の検出結果にルールを適用し始めます。システムの負荷と一致する検出結果の数によっては、このプロセスに時間がかかる場合があります。